Uma falha do Thunderbolt concede aos hackers acesso aos seus dados
Recentemente, um pesquisador postou uma prova de conceito que o mostrava acessando o conteúdo de um laptop bloqueado em apenas alguns minutos. O cerne da falha vem do Thunderbolt. Mas enquanto ele tinha acesso ao laptop, ele precisava de acesso físico, uma chave de fenda e peças prontas para uso.
Atualizado, 11/05: Intel diz que este ataque não funcionará em computadores com proteção Kernal DMA habilitada. Um porta-voz da Intel nos disse: “Este ataque não pôde ser demonstrado com sucesso em sistemas com proteção Kernel DMA habilitada. Como sempre, incentivamos todos a seguirem as boas práticas de segurança, incluindo a prevenção de acesso físico não autorizado a computadores." A empresa também postou uma resposta à pesquisa em uma postagem no blog.
Apelidado de Thunderspy, o ataque aproveita o fato de o Thunderbolt ser uma porta de acesso direto à memória. Assim como PCI-Express e Firewire, as portas Thunderbolt acessam a memória do sistema diretamente fora da CPU, o que permite altas taxas de transferência. Mas também é isso que os torna vulneráveis a ataques diretos à memória.
Como visto no vídeo de demonstração do pesquisador de segurança Björn Ruytenberg, aproveitando o acesso do Thunderbolt à memória do sistema, um hacker pode acessar seus dados mesmo quando o laptop está bloqueado e o disco rígido é criptografado.
O ataque não é simples, porém, o hacker precisa estar bem preparado e precisa acessar seu laptop. O hack envolve tirar a placa traseira (a parte inferior) de um laptop e conectar um dispositivo à placa-mãe para reprogramar o firmware.
Embora Ruytenberg afirme que é um processo que ele pode realizar em minutos, isso pressupõe familiaridade com o laptop e o que é necessário para remover a placa traseira (se isso for possível). É improvável que seu laptop desacompanhado seja vítima desse ataque em um Starbucks, mas seu laptop roubado é uma história diferente.
De acordo com Ruytenberg, a falha não é um problema de software e não pode ser corrigida. Em vez disso, é necessário um redesenho do chip. Outros pesquisadores parecem discordar, pelo menos em parte, e afirmam que a nova proteção no nível do kernel do Windows 10 deve mitigar pelo menos parcialmente o problema. E se você estiver no macOS, também estará parcialmente protegido.
Rutenberg continuou dizendo que outro vetor para o ataque pode ignorar a necessidade de desmontar parcialmente o dispositivo. Mas, nesse caso, o hacker precisaria acessar um dispositivo Thunderbolt previamente conectado ao laptop.
Vale ressaltar que as potenciais vulnerabilidades de segurança do Thunderbolt são uma das razões pelas quais a Microsoft não incluirá a porta em dispositivos Surface. Por enquanto, se você estiver preocupado se essa falha afetar seu dispositivo, verifique no site ThunderSpy que Ruytenberg criou.
Fonte: ThunderSpy via Wired